BLIK to wiodący w Polsce mobilny system płatności, który łączy aplikacje bankowe, scentralizowaną infrastrukturę rozliczeniową i silne uwierzytelnianie w czasie rzeczywistym. W 2024 r. niemal 17 mln aktywnych użytkowników zrealizowało 2,4 mld transakcji o wartości ok. 350 mld zł. Architektura obejmuje unikalne algorytmy generowania kodów, natychmiastowe przetwarzanie, zaawansowane systemy antyfraudowe oraz integrację z kluczowymi „szynami” płatniczymi (m.in. SORBNET2, Express Elixir, tokenizacja Mastercard), dzięki czemu doświadczenie płatnicze jest spójne w e‑commerce, POS, bankomatach i płatnościach P2P.
- Fundamenty architektury i ramy operacyjne
- Przetwarzanie transakcji i mechanizmy generowania kodów
- Infrastruktura bezpieczeństwa i protokoły uwierzytelniania
- Architektura rozliczeń i rozrachunku
- Tryby płatności i implementacja techniczna
- Integracja systemu i wymagania techniczne
- Ekspansja międzynarodowa i adaptacja techniczna
| Wskaźnik | Wartość | Uwagi |
|---|---|---|
| Aktywni użytkownicy (2024) | ~17 mln | użytkownicy korzystający regularnie |
| Liczba transakcji (2024) | ~2,4 mld | skala masowa, przetwarzanie w czasie rzeczywistym |
| Wartość transakcji (2024) | ~350 mld zł | łączenie wielu kanałów płatności |
| Udział w płatnościach online | ~70% | klienci polskich banków |
| Średnia wartość przelewu P2P | ~151 zł | adresowanie na numer telefonu |
Fundamenty architektury i ramy operacyjne
Operatorem systemu jest Polski Standard Płatności (PSP) – organizacja płatnicza odpowiedzialna za utrzymanie, rozwój i standaryzację ekosystemu, działająca we współpracy z bankami‑założycielami oraz Mastercard.
Scentralizowana infrastruktura PSP generuje i rejestruje kody, utrzymuje bazę kont mobilnych, realizuje autoryzacje w czasie rzeczywistym oraz przygotowuje pliki do clearingu i rozrachunku. Jednolite standardy i polityki bezpieczeństwa zapewniają spójność wdrożeń po stronie banków.
W ramach modelu uczestnictwa wyróżniono role o odmiennych odpowiedzialnościach technicznych i regulacyjnych. Najważniejsze funkcje można streścić następująco:
- issuer (wydawca) – dostarcza BLIK w aplikacji bankowej, wydaje instrumenty płatnicze, prowadzi rachunki w NBP na potrzeby rozrachunku;
- acquirer (agent rozliczeniowy) – integruje sprzedawców (POS/e‑commerce) z BLIK i przyjmuje płatności w imieniu akceptantów;
- pośrednicy i zabezpieczeni acquirerzy – umożliwiają elastyczny dostęp mniejszym podmiotom, przy wsparciu mechanizmów gwarancyjnych;
- PSP – utrzymuje centralę, standardy, antyfraud i przygotowuje rozliczenia międzybankowe.
Integracja BLIK z krajową infrastrukturą jest kluczowa. SORBNET2 zapewnia finalność rozrachunku w NBP, a Express Elixir obsługuje natychmiastowe przelewy w PLN (zwłaszcza w P2P). Baza kont mobilnych PSP mapuje numery telefonów na rachunki bankowe, a rejestry akceptacji określają, gdzie BLIK jest dostępny.
Przetwarzanie transakcji i mechanizmy generowania kodów
Unikalny mechanizm sześciocyfrowego kodu tworzy krótkotrwały, jednorazowy token uwierzytelniający. Kod jest ważny 2 minuty, co minimalizuje ryzyko nadużyć przy zachowaniu wygody wpisu.
Aby ułatwić zrozumienie, poniżej przedstawiono standardową ścieżkę transakcji BLIK krok po kroku:
- Użytkownik w aplikacji bankowej inicjuje płatność i żąda wygenerowania kodu (aplikacja komunikuje się z centralą PSP).
- PSP generuje losowy kod, rejestruje go jako „aktywny” i powiązuje z kontem użytkownika oraz kontekstem transakcji.
- Użytkownik wpisuje kod u sprzedawcy, w POS lub bankomacie; system akceptanta przekazuje żądanie autoryzacji do BLIK.
- PSP weryfikuje ważność i jednorazowość kodu i wysyła push do aplikacji bankowej z danymi transakcji.
- Użytkownik potwierdza operację w aplikacji PIN‑em lub biometrią w oknie 45–60 sekund; brak akceptacji powoduje unieważnienie kodu.
- Po akceptacji następuje natychmiastowa autoryzacja u sprzedawcy; clearing i rozrachunek międzybankowy realizowane są później, bez wpływu na doświadczenie użytkownika.
Cały proces – od wpisania kodu do autoryzacji – zwykle trwa poniżej 10 sekund. System wspiera także płatności „bez kodu” (one‑click), w których zaufani sprzedawcy pomijają wpisywanie kodu, zachowując obowiązkowe potwierdzenie w aplikacji.
Infrastruktura bezpieczeństwa i protokoły uwierzytelniania
Model bezpieczeństwa BLIK to wielowarstwowa strategia obrony, łącząca czynniki posiadania, wiedzy i biometrii, wzbogacona o ograniczenia czasowe i ciągły monitoring.
Kluczowe warstwy ochrony działające łącznie wyglądają następująco:
- jednorazowy kod 6‑cyfrowy – kryptograficznie nieprzewidywalny, z ważnością 2 minuty, natychmiast unieważniany po użyciu;
- obowiązkowe potwierdzenie w aplikacji – prezentacja kwoty i odbiorcy, akceptacja PIN‑em lub biometrią, spełnia wymogi 2FA/SCA;
- szyfrowanie end‑to‑end – bezpieczne kanały od aplikacji po PSP i akceptantów, zarządzanie kluczami i certyfikatami;
- mechanizmy antyfraudowe – uczenie maszynowe i reguły wykrywające anomalie (kwoty, MCC, sekwencje);
- MFA i polityki ryzyka – dodatkowe uwierzytelnienia zależne od kwoty, kontekstu i banku;
- ochrona przed socjotechniką – potwierdzenie w aplikacji pozwala wykryć próbę wyłudzenia nawet przy ujawnieniu kodu;
- tokenizacja zbliżeniowa (Mastercard MDES) – odseparowanie danych rzeczywistych od tokenów, wsparcie NFC i globalny monitoring sieci.
Transakcje BLIK nie ujawniają numerów kart sprzedawcom, co redukuje skutki ewentualnych wycieków po stronie akceptanta.
Architektura rozliczeń i rozrachunku
Autoryzacja w czasie rzeczywistym jest odseparowana od clearingu i rozrachunku, co daje natychmiastowe potwierdzenia przy efektywnym wykorzystaniu systemów międzybankowych.
Poniżej syntetyczny obraz przepływu rozliczeniowego:
- PSP agreguje transakcje i oblicza pozycje netto uczestników (issuerów i acquirerów) wraz z opłatami.
- Generowane są pliki rozliczeniowe – ich bezbłędność jest krytyczna wobec skali 2,4 mld transakcji rocznie.
- Rozrachunek środków odbywa się w NBP za pośrednictwem SORBNET2 (lub zgodnie z procedurą właściwą), co zapewnia finalność transferów.
- Mechanizm gwarancji rozliczeniowej zabezpiecza akceptantów na wypadek niewypłacalności emitenta; możliwe są procedury bilateralne oraz transfery m.in. przez SORBNET3.
- W płatnościach P2P między różnymi bankami rozrachunek często realizuje Express Elixir, natomiast BLIK zapewnia tożsamość i zgodę.
| Kanał | Autoryzacja | Clearing/Rozrachunek | Technologia/Sieć |
|---|---|---|---|
| E‑commerce (kod/one‑click) | PSP + aplikacja bankowa | Clearing PSP, rozrachunek w NBP (SORBNET2) | API operatorów PSP, integracje akceptantów |
| POS (kod) | PSP + aplikacja bankowa | Clearing PSP, rozrachunek w NBP | Terminale płatnicze, agenci rozliczeniowi |
| POS (zbliżeniowe) | PSP + aplikacja bankowa | Clearing PSP, rozrachunek wg zasad sieci | NFC, tokeny Mastercard MDES |
| Bankomaty | PSP + aplikacja bankowa | Clearing PSP, rozrachunek w NBP | Sieci ATM, integracje operatorów |
| P2P (na telefon) | PSP + aplikacja bankowa | Express Elixir (międzybankowo) | Baza kont mobilnych PSP |
Tryby płatności i implementacja techniczna
Wszystkie tryby korzystają z tej samej ramy uwierzytelnienia i bezpieczeństwa, a różnią się integracją na końcach łańcucha (akceptant/urządzenie):
- e‑commerce – wybór BLIK w checkout, wpisanie kodu lub one‑click, natychmiastowa autoryzacja po potwierdzeniu w aplikacji;
- POS (kod) – wprowadzenie kodu na terminalu i potwierdzenie w aplikacji, szybkość porównywalna z kartą;
- POS (zbliżeniowo) – NFC w Androidzie i tokeny Mastercard MDES, płatność możliwa bez dostępu do internetu w chwili zbliżenia;
- bankomaty – wybór BLIK na ATM, wpisanie kodu i potwierdzenie w aplikacji, wydanie gotówki po akceptacji;
- P2P na numer telefonu – mapowanie numeru na rachunek, natychmiastowe dostarczenie środków, rozrachunek często przez Express Elixir.
Integracja systemu i wymagania techniczne
Specyfikacje uczestnictwa równoważą bezpieczeństwo, spójny UX i różny poziom dojrzałości technicznej podmiotów. Kluczowe wymagania dla nowych uczestników obejmują:
- wdrożenie specyfikacji technicznej – protokoły, formaty komunikatów, API, obsługa błędów, procedury operacyjne;
- aplikację mobilną – generowanie i prezentacja kodów, odbiór powiadomień push, szybkie uwierzytelnianie (minimalne opóźnienia);
- integrację backendową – bezpieczne kanały bank–PSP, middleware do translacji i routingu, wysoka dostępność;
- akceptantów i operatorów PSP – obsługę kodów, one‑click, odpowiedzi autoryzacyjnych i cykliczności (jeśli dotyczy);
- bezpieczeństwo i zgodność – szyfrowanie, ochrona danych, zgodność z RODO, audyty PSP;
- wydajność – maksymalne czasy odpowiedzi i pojemność na szczyty (np. sezon świąteczny);
- proces wdrożenia – rozwój, testy, certyfikacja PSP, konfiguracja i testy trasowania w produkcji.
Jakość dokumentacji (API, sandbox, kody błędów) bezpośrednio wpływa na czas i koszty integracji po stronie banków i akceptantów.
Ekspansja międzynarodowa i adaptacja techniczna
BLIK rozszerza zasięg poza Polskę, dostosowując architekturę do lokalnych regulacji, walut i systemów bankowych – m.in. w Rumunii i na Słowacji.
Najważniejsze elementy adaptacji i skalowania obejmują:
- wielowalutowość – obsługa RON i EUR, formaty kwot, ewentualne przeliczenia w transakcjach transgranicznych;
- integracje rynkowe – przejęcie VIAMO i dostosowanie do lokalnych aplikacji bankowych oraz zwyczajów płatniczych;
- modernizacja i łączność – prace z DXC Technology i integracja SWIFT przy zachowaniu natychmiastowości charakterystycznej dla BLIK;
- regulacje – zgodność z PSD2 i lokalnymi implementacjami SCA, wymogi sprawozdawcze i ochrony konsumenta;
- partnerstwa – integracja Revolut (początek 2025 r.) dla rachunków w PLN oraz współpraca w ramach European Payments Alliance (EuroPA) dla interoperacyjności;
- skalowalność – partycjonowanie i replikacja danych, wieloregionowa dostępność, obsługa pików w różnych strefach czasowych.
Globalny zasięg akceptacji (np. przez sieć Mastercard) zwiększa użyteczność BLIK, przy zachowaniu lokalnej tożsamości i silnych standardów bezpieczeństwa.
